TEKNOLOJİ
Giriş Tarihi : 06-03-2021 12:44   Güncelleme : 06-03-2021 12:44

SolarWinds: Microsoft Exchange Server kusurları aracılığıyla saldırıya uğrayan 30.000 kuruluşun e-postası

Microsoft’un e-posta sunucusu yazılımındaki güvenlik açıkları, bilgisayar korsanlarının eyalet ve yerel yönetimler, acil durum müdahale ekipleri ve daha fazlası dahil olmak üzere binlerce kuruluştan gelen e-postalara erişmesine izin verdi.

SolarWinds: Microsoft Exchange Server kusurları aracılığıyla saldırıya uğrayan 30.000 kuruluşun e-postası

KrebsOnSecurity tarafından yayınlanan bir rapora göre, Microsoft’un Exchange Server yazılımında bulunan dört istismarın ABD’deki 30.000’den fazla devlet ve ticari kuruluşun e-postalarının saldırıya uğramasına yol açtığı bildirildi. Wired ayrıca "on binlerce e-posta sunucusunun" saldırıya uğradığını bildiriyor. Bu istismarlar Microsoft tarafından düzeltildi, ancak Krebs ile konuşan güvenlik uzmanları, tespit ve temizleme sürecinin binlerce eyalet ve şehir hükümeti, itfaiye ve polis departmanları, okul bölgeleri, finans kurumları ve diğer kuruluşlar için büyük bir çaba olacağını söylüyor.

Microsoft'a göre, güvenlik açıkları bilgisayar korsanlarının e-posta hesaplarına erişimini sağladı ve ayrıca onlara daha sonra bu sunuculara geri dönmelerine izin verebilecek kötü amaçlı yazılımları yükleme olanağı verdi.

Krebs ve Wired, saldırının Çinli bir bilgisayar korsanlığı grubu olan Hafnium tarafından gerçekleştirildiğini bildirdi. Microsoft saldırının ölçeğinden bahsetmemiş olsa da, aynı grubun güvenlik açıklarından yararlandığına işaret ederek, grubun devlet destekli olduğu konusunda "yüksek güvene" sahip olduğunu söylüyor.

Göre KrebsOnSecurity'e göre, saldırı 6 Ocak'tan beri (isyan günü) devam ediyor, ancak Şubat ayı sonlarında arttı. Microsoft yamalarını 2 Mart'ta yayınladı, bu da saldırganların operasyonlarını yürütmek için neredeyse iki ayları olduğu anlamına geliyor. Saldırıyı keşfeden siber güvenlik firması Volexity'nin başkanı Krebs'e, "Exchange çalıştırıyorsanız ve bunu henüz düzeltmediyseniz, kuruluşunuzun zaten tehlikeye girme olasılığı çok yüksektir" dedi.

< Hem Beyaz Saray Ulusal Güvenlik Danışmanı Jake Sullivan, hem de Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın eski yöneticisi Chris Krebs (KrebsOnSecurity ile ilişkisi yok) olayın ciddiyeti hakkında tweet attı.

Bu gerçek anlaşma. Kuruluşunuz internete açık bir OWA sunucusu çalıştırıyorsa, 02 / 26-03 / 03 arasında güvenliğin ihlal edildiğini varsayın. C: \\ inetpub \ wwwroot \ aspnet_client \ system_web \ içinde 8 karakterli aspx dosyalarını kontrol edin. Bu aramada bir sonuç alırsanız, artık olay yanıt modundasınızdır. https://t.co/865Q8cc1Rm

— Chris Krebs (@C_C_Krebs) 5 Mart 2021

Microsoft, güvenlik açıklarını gidermek için birkaç güvenlik güncellemesi yayınladı ve bunların hemen yüklenmesini önerdi. Kuruluşunuz Exchange Online kullanıyorsa, bundan etkilenmeyeceğini belirtmekte fayda var - bu açıktan yararlanma yalnızca Exchange Server 2013, 2016 veya 2019 çalıştıran kendi kendine barındırılan sunucularda mevcuttu.

Büyük Muhtemelen devlet tarafından işletilen bir kuruluş tarafından gerçekleştirilen ölçekli saldırı tanıdık gelebilir, Microsoft, saldırıların geçen yıl ABD federal hükümet kurumlarını ve şirketlerini tehlikeye atan SolarWinds saldırılarıyla "hiçbir şekilde bağlantılı" olmadığı konusunda açık.

< Muhtemelen bu saldırıyla ilgili hala detaylar var - şimdiye kadar, tehlikeye atılan kuruluşların resmi bir listesi olmadı, sadece saldırının büyük ölçekli ve yüksek şiddetine dair belirsiz bir resim.

Bir Microsoft sözcüsü, şirketin "müşterilerimize mümkün olan en iyi rehberliği ve azaltmayı sağladığımızdan emin olmak için [Siber Güvenlik ve Altyapı Güvenliği Ajansı], diğer devlet kurumları ve güvenlik şirketleriyle yakın bir şekilde çalıştığını söyledi. , "Ve" En iyi korumanın, güncellemeleri, etkilenen tüm sistemlere mümkün olan en kısa sürede uygulamak olduğunu. "